В эпоху цифровизации персональные данные стали одним из ключевых активов, а их защита — важнейшей обязанностью организаций. Утечки информации, кибератаки и недобросовестное обращение с данными граждан приводят не только к репутационным потерям, но и к серьезным финансовым санкциям.

С 30 мая 2025 года в России вступят в силу поправки в КоАП РФ, ужесточающие ответственность за нарушения в сфере обработки персональных данных. 

1. Что относится к персональным данным?

Согласно ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) к персональным данным относится любая информация, прямо или косвенно связанная с физическим лицом (субъектом персональных данных). К ним относятся:

•  Базовые данные: ФИО, дата рождения, место жительства.

• Документальные сведения: паспортные данные, ИНН, СНИЛС.

• Контактная информация: телефон, email, IP-адрес.

• Биометрические данные: отпечатки пальцев, фото- и видеоизображения.

• Специальные категории: информация о здоровье, расе, религии, политических взглядах (обработка таких данных требует отдельного согласия субъекта).

• Иные данные, позволяющие идентифицировать человека: история покупок, геолокация, данные с камер наблюдения.

Важно! Даже обезличенные на первый взгляд данные (например, логин в социальной сети или номер бонусной карты) могут стать персональными, если их можно сопоставить с конкретным лицом.

2. Обязанность организаций: уведомление Роскомнадзора.

Все, кто занимаются обработкой персональных данных, являются операторами персональных данных. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона о персональных данных).

Любой работодатель является оператором персональных данных, поскольку обрабатывают персональные данные:              

• Своих сотрудников (с кем заключены трудовые договоры);

• Подрядчиков, исполнителей по договорам гражданско-правового характера;

• Клиентов компании, которые сообщают свои личные данные для заключения договора или обработки заказа;

• Посетителей, которым выписывают разовый пропуск для прохода на территорию компании;

• Других лиц.

Любая организация, обрабатывающая персональные данные, обязана направить уведомление в Роскомнадзор до начала их обработки (ст. 22 Закона о персональных данных).

Как подать уведомление?

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Это можно сделать следующими способами:

1. Почтовым направлением в территориальный орган Роскомнадзора;

2. Через личный кабинет на сайте Роскомнадзора;

3. Заполнить форму на портале Госуслуг.

В документе указываются: цель обработки, категории данных, способы обработки, меры защиты, сроки хранения и другие данные, которые подробно описаны в ч. 3 ст. 22 Закона о защите персональных данных.

3. Поправки в КоАП РФ с 30 мая 2025 года: что изменится?

Увеличатся штрафы (ч. 1, 1.1 ст. 13.11 КоАП РФ):

• Обработка персональных данных, несовместимая с целями сбора персональных данных: теперь штрафы для ИП составят 50 000 – 100 000 руб. и 150 000 – 300 000 руб. для организаций.

• За повторное совершение такого нарушения штрафы для организаций и ИП составят 300 000 – 500 000 руб.

Появятся новые составы правонарушений:

Изменения вводят в статью 13.11 КоАП РФ 9 новых составов административных правонарушений. В том числе: невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных теперь наказуемо: штраф составит 100 000 – 300 000 руб. (здесь и далее указаны размеры штрафов для ИП и организаций)

4. Статистика проводимых проверок: тенденции

Согласно открытым данным Роскомнадзора, в I квартале 2024 года ведомство усилило контрольные меры, сохранив фокус на профилактике нарушений. На примере статистики прошлого года можно заметить, что динамика надзорной деятельности усиливается – а значит, организации в 2025 году также будут оставаться под особым контролем.

Ужесточение штрафов за разглашение персональных данных — сигнал для бизнеса: защита информации должна стать приоритетом. Организациям, которые проигнорируют новые правила, грозят не только серьезные штрафы, но и потеря доверия клиентов. Проверьте свои процессы уже сегодня, чтобы избежать проблем завтра!